信息安全技术信息系统安全等级保护实施指引
关于信息安全等级保护工作的实施意见
关于信息安全等级保护工作的实施意见学校接到:“重庆市巴南区教育委员会关于转发巴南区信息网络安全大检查专项行动实施方案的通知”后,按文件精神立即落实相关部门进行自查,现将自查情况作如下报告:一、充实领导机构,加强责任落实收到文件通告后,学校立即举行行政办公会议,进一步全面落实领导小组及工作组,全面落实分工与责任人(领导小组见到附件一)。
鱼洞二小网络安全小检查专项行动由学校统一会同,统一指挥,学校信息中心具体内容负责管理全面落实实行。
信息中心成立工作小组(工作小组见到附件一),小组成员及各自分工全面落实管理、保护、检查信及培训,层层落实,并坚决执行“谁主管谁负责管理、谁运转谁负责管理、谁采用谁负责管理”的管理原则,确保我校校园网的绝对安全,给全校师生提供更多一个安全身心健康的网络采用环境。
二、开展安全检查,及时整改隐患1、我校“网络中心、功能室、微机室、教室、办公室”等都创建了采用及安全管理规章制度,且制度都上墙张贴。
2、网络中心的安全防护是重中之重,我们分为:物理安全、网络入出口安全、数据安全等。
物理安全主要是设施设备的防火防盗、物理损坏等;网络入出口安全是指光纤接入防火墙—>路由器—>核心交换机及内网访问出去的安全,把握好源头;数据安全是指对校园网的数据备份、对不安全的信息进行处理上报、对信息的过渡等。
信息中心有独立的管理制度,如网络更新登记、服务器资源、硬盘分布统计资料、安全日志等,便于发现问题,既时查找。
4、加强网络安全管理工作,对所有互连我校核心交换机的计算机设备展开了全面安全检查,对操作系统存有漏洞、防毒软件布局不妥当的计算机展开全面升级,保证网络安全。
5、规范信息的采集、审核和发布流程,严格信息发布审核,确保所发布信息内容的准确性和真实性。
每周定时对我校站的留言簿、二小博客上的贴子,留言进行审核,对不健康的信息进行屏蔽,对于反映情况的问题,备份好数据,及时向学校汇报。
6、本期第三周我校在教职工大会非政府老师自学有关信息网络法律法规,提升老师们合理、恰当采用网络资源的意识,培养较好的玩游戏习惯,不搞任何与有关信息网络法律法规二者违反的事。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术和信息系统安全等级保护是保障信息系统安全的重要方面。
以下是信息系统安全等级保护实施指南的一般性建议:
1. 制定安全政策:明确信息系统安全等级保护的目标和原则,建立适用于组织的安全政策,并提供相应的安全意识培训。
2. 进行风险评估:对信息系统进行全面的风险评估,包括威胁分析、漏洞评估和影响分析等。
基于评估结果确定系统的安全等级保护需求。
3. 制定安全控制措施:根据信息系统的安全等级保护需求,制定相应的安全控制措施,包括物理安全、网络安全、数据安全、身份认证与访问控制等方面。
4. 实施技术措施:采用现代化的信息安全技术和工具,包括防火墙、入侵检测系统、加密技术等,以保护信息系统的安全性和完整性。
5. 建立安全管理体系:建立信息安全管理体系,包括责任分工、权限管理、事件响应、备份恢复等方面,确保信息系统的长期安全运行。
6. 进行定期审查与监测:定期进行信息系统的安全审查和监测,包括安全漏洞扫描、日志分析和异常行为检测等,及时发现和处理潜在的安全问题。
7. 提升安全意识与培训:加强员工的信息安全意识教育和培训,提高他们对信息安全的重视和理解,降低内部威胁的风险。
8. 不断改进和更新:定期评估信息系统安全等级保护的有效性,并根据新的安全威胁和技术发展不断改进和更新安全措施。
需要注意的是,具体的实施指南可能因组织规模、行业特点和法律法规要求的差异而有所不同。
建议参考相关标准和最佳实践,结合实际情况制定并实施适合自身组织的信息系统安全等级保护实施指南。
信息安全技术信息系统安全等级保护实施指南.doc
汤阴县人民法院信息化设备采购项目合同书合同编号:甲方:汤阴县人民法院乙方:郑州四通系统集成有限公司签订地点:汤阴县人民法院签订时间:年月日甲方:汤阴县人民法院乙方:郑州四通系统集成有限公司甲、乙双方根据年月日发布的招标编号为:汤财招标采购【2018】128号“汤阴县人民法院信息化设备采购项目”的中标公告通知书及其相关文件,并经双方协商一致,按照《中华人民共和国合同法》的有关规定达成以下合同条款:一、项目名称:汤阴县人民法院信息化设备采购项目二、项目范围:包含设备安装调试、培训、售后服务等1.合同文件的组成下列文件是构成本合同不可分割的部分:(1)乙方提交的投标文件;(2)投标供货报价一览表;(3)中标通知书;(4)合同条款;2.合同范围和条件本合同的范围和条件应与上述合同文件的规定相一致。
三、合同总价:壹佰陆拾柒万玖仟玖佰元整(¥:1679900.00)。
分项报价见合同附件(设备清单)。
四、质量要求及乙方对质量负责条件和期限:乙方应提供全新设备(包括零部件、附件、备品备件),设备必须符合产品质量标准要求。
乙方在此保证全部按照合同规定的时间和方式向甲方提供货物和服务,并负责可能的弥补缺陷。
甲方对设备规格型号有异议的应在收到货物后 3 日内以书面形式向乙方提出。
五、售后服务承诺保修期限:自交付使用之日起,乙方对整个系统提供为期三年的免费技术服务(人为因素除外,人为造成损坏的维修费用由甲方承担),系统的硬件设备的保修期依据厂家保修手册执行。
六、工期及进度:合同生效后,乙方应于年月日前按甲方要求在甲方指定的地点完成设备的安装调试,设备运送的费用由乙方负责。
甲方应在设备到达指定地点后,提供符合安装条件的场地、电源、环境等。
七、培训:为了使甲方更好地掌握系统的使用与维护方法,乙方为甲方提供现场培训计划。
鉴于本合同的有关条款,我们提供免费的现场的培训。
培训人员:甲方IT部门,行政部门等直接管理和操作的人员若干。
信息安全技术—信息系统安全等级保护基本要求
信息安全技术—信息系统安全等级保护基本要求下载提示:该文档是本店铺精心编制而成的,希望大家下载后,能够帮助大家解决实际问题。
文档下载后可定制修改,请根据实际需要进行调整和使用,谢谢!本店铺为大家提供各种类型的实用资料,如教育随笔、日记赏析、句子摘抄、古诗大全、经典美文、话题作文、工作总结、词语解析、文案摘录、其他资料等等,想了解不同资料格式和写法,敬请关注!Download tips: This document is carefully compiled by this editor. I hope that after you download it, it can help you solve practical problems. The document can be customized and modified after downloading, please adjust and use it according to actual needs, thank you! In addition, this shop provides you with various types of practical materials, such as educational essays, diary appreciation, sentence excerpts, ancient poems, classic articles, topic composition, work summary, word parsing, copy excerpts, other materials and so on, want to know different data formats and writing methods, please pay attention!一、引言信息系统的安全等级保护是保障信息系统安全、维护国家安全和社会稳定的重要举措。
关于信息安全等级保护工作的实施意见--66号文
关于信息安全等级保护工作的实施意见【颁布单位】公安部国家保密局国家密码管理委员会办公室国务院信息化工作办公室【颁布日期】 20040915【实施日期】 20040917【文号】公通字[2004]66号【名称】关于信息安全等级保护工作的实施意见信息安全等级保护制度是国家在国民经济和社会信息化的发展过程中,提高信息安全保障能力和水平,维护国家安全、社会稳定和公共利益,保障和促进信息化建设健康发展的一项基本制度。
实行信息安全等级保护制度,能够充分调动国家、法人和其他组织及公民的积极性,发挥各方面的作用,达到有效保护的目的,增强安全保护的整体性、针对性和实效性,使信息系统安全建设更加突出重点、统一规范、科学合理,对促进我国信息安全的发展将起到重要推动作用。
为了进一步提高信息安全的保障能力和防护水平,维护国家安全、公共利益和社会稳定,保障和促进信息化建设的健康发展,1994年国务院颁布的《中华人民共和国计算机信息系统安全保护条例》规定,“计算机信息系统实行安全等级保护,安全等级的划分标准和安全等级保护的具体办法,由公安部会同有关部门制定”。
2003年中央办公厅、国务院办公厅转发的《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)明确指出,“要重点保护基础信息网络和关系国家安全、经济命脉、社会稳定等方面的重要信息系统,抓紧建立信息安全等级保护制度,制定信息安全等级保护的管理办法和技术指南”。
一、开展信息安全等级保护工作的重要意义近年来,党中央、国务院高度重视,各有关方面协调配合、共同努力,我国信息安全保障工作取得了很大进展。
但是从总体上看,我国的信息安全保障工作尚处于起步阶段,基础薄弱,水平不高,存在以下突出问题:信息安全意识和安全防范能力薄弱,信息安全滞后于信息化发展;信息系统安全建设和管理的目标不明确;信息安全保障工作的重点不突出;信息安全监督管理缺乏依据和标准,监管措施有待到位,监管体系尚待完善。
信息系统安全等级保护实施指南
资料范本本资料为word版本,可以直接编辑和打印,感谢您的下载信息系统安全等级保护实施指南地点:__________________时间:__________________说明:本资料适用于约定双方经过谈判,协商而共同承认,共同遵守的责任与义务,仅供参考,文档可直接下载或修改,不需要的部分可直接删除,使用时请详细阅读内容目次TOC \o "1-5" 前言 PAGEREF _Toc168288467 \h III引言 PAGEREF _Toc168288468 \h IV1 范围 PAGEREF _Toc168288469 \h 12 规范性引用文件 PAGEREF _Toc168288470 \h 13 术语和定义 PAGEREF _Toc168288471 \h 14 等级保护实施概述 PAGEREF _Toc168288472 \h 14.1 基本原则 PAGEREF _Toc168288473 \h 14.2 角色和职责 PAGEREF _Toc168288474 \h 14.3 实施的基本流程 PAGEREF _Toc168288475 \h 25 信息系统定级 PAGEREF _Toc168288476 \h 45.1 信息系统定级阶段的工作流程 PAGEREF _Toc168288477 \h 4 5.2 信息系统分析 PAGEREF _Toc168288478 \h 45.2.1 系统识别和描述 PAGEREF _Toc168288479 \h 45.2.2 信息系统划分 PAGEREF _Toc168288480 \h 55.3 安全保护等级确定 PAGEREF _Toc168288481 \h 65.3.1 定级、审核和批准 PAGEREF _Toc168288482 \h 65.3.2 形成定级报告 PAGEREF _Toc168288483 \h 66 总体安全规划 PAGEREF _Toc168288484 \h 76.1 总体安全规划阶段的工作流程 PAGEREF _Toc168288485 \h 7 6.2 安全需求分析 PAGEREF _Toc168288486 \h 86.2.1 基本安全需求的确定 PAGEREF _Toc168288487 \h 86.2.2 额外/特殊安全需求的确定 PAGEREF _Toc168288488 \h 9 6.2.3 形成安全需求分析报告 PAGEREF _Toc168288489 \h 96.3 总体安全设计 PAGEREF _Toc168288490 \h 106.3.1 总体安全策略设计 PAGEREF _Toc168288491 \h 106.3.2 安全技术体系结构设计 PAGEREF _Toc168288492 \h 106.3.3 整体安全管理体系结构设计 PAGEREF _Toc168288493 \h 116.3.4 设计结果文档化 PAGEREF _Toc168288494 \h 126.4 安全建设项目规划 PAGEREF _Toc168288495 \h 126.4.1 安全建设目标确定 PAGEREF _Toc168288496 \h 136.4.2 安全建设内容规划 PAGEREF _Toc168288497 \h 136.4.3 形成安全建设项目计划 PAGEREF _Toc168288498 \h 147 安全设计与实施 PAGEREF _Toc168288499 \h 157.1 安全设计与实施阶段的工作流程 PAGEREF _Toc168288500 \h 157.2 安全方案详细设计 PAGEREF _Toc168288501 \h 167.2.1 技术措施实现内容设计 PAGEREF _Toc168288502 \h 167.2.2 管理措施实现内容设计 PAGEREF _Toc168288503 \h 167.2.3 设计结果文档化 PAGEREF _Toc168288504 \h 177.3 管理措施实现 PAGEREF _Toc168288505 \h 177.3.1 管理机构和人员的设置 PAGEREF _Toc168288506 \h 177.3.2 管理制度的建设和修订 PAGEREF _Toc168288507 \h 177.3.3 人员安全技能培训 PAGEREF _Toc168288508 \h 187.3.4 安全实施过程管理 PAGEREF _Toc168288509 \h 187.4 技术措施实现 PAGEREF _Toc168288510 \h 197.4.1 信息安全产品采购 PAGEREF _Toc168288511 \h 197.4.2 安全控制开发 PAGEREF _Toc168288512 \h 207.4.3 安全控制集成 PAGEREF _Toc168288513 \h 207.4.4 系统验收 PAGEREF _Toc168288514 \h 218 安全运行与维护 PAGEREF _Toc168288515 \h 228.1 安全运行与维护阶段的工作流程 PAGEREF _Toc168288516 \h 228.2 运行管理和控制 PAGEREF _Toc168288517 \h 238.2.1 运行管理职责确定 PAGEREF _Toc168288518 \h 238.2.2 运行管理过程控制 PAGEREF _Toc168288519 \h 248.3 变更管理和控制 PAGEREF _Toc168288520 \h 248.3.1 变更需求和影响分析 PAGEREF _Toc168288521 \h 248.3.2 变更过程控制 PAGEREF _Toc168288522 \h 258.4 安全状态监控 PAGEREF _Toc168288523 \h 258.4.1 监控对象确定 PAGEREF _Toc168288524 \h 258.4.2 监控对象状态信息收集 PAGEREF _Toc168288525 \h 268.4.3 监控状态分析和报告 PAGEREF _Toc168288526 \h 268.5 安全事件处置和应急预案 PAGEREF _Toc168288527 \h 278.5.1 安全事件分级 PAGEREF _Toc168288528 \h 278.5.2 应急预案制定 PAGEREF _Toc168288529 \h 278.5.3 安全事件处置 PAGEREF _Toc168288530 \h 278.6 安全检查和持续改进 PAGEREF _Toc168288531 \h 288.6.1 安全状态检查 PAGEREF _Toc168288532 \h 288.6.2 改进方案制定 PAGEREF _Toc168288533 \h 298.6.3 安全改进实施 PAGEREF _Toc168288534 \h 298.7 等级测评 PAGEREF _Toc168288535 \h 298.8 系统备案 PAGEREF _Toc168288536 \h 308.9 监督检查 PAGEREF _Toc168288537 \h 309 信息系统终止 PAGEREF _Toc168288538 \h 309.1 信息系统终止阶段的工作流程 PAGEREF _Toc168288539 \h 309.2 信息转移、暂存和清除 PAGEREF _Toc168288540 \h 319.3 设备迁移或废弃 PAGEREF _Toc168288541 \h 319.4 存储介质的清除或销毁 PAGEREF _Toc168288542 \h 32附录A(规范性附录)主要过程及其活动输出 PAGEREF_Toc168288543 \h 33前言本标准的附录A是规范性附录。
信息安全技术 信息系统安全等级保护基本要求
信息安全技术信息系统安全等级保护基本要求信息安全技术,是指对信息进行安全管理的技术,包括对信息资源、信息传输和信息存储等方面的保护技术。
它主要是通过技术手段来达到保护信息资源的目的,以最大限度地保证信息安全。
信息系统安全等级保护(Security Level Protection,SLP)基本要求旨在确保重要的信息系统实施合理的安全策略,并减少由于信息系统失效导致的损失。
要想实施 SLP 基本要求,需要遵循一系列的步骤,包括:1. 确定信息系统安全等级:根据信息系统的不同功能特性,以及承担的风险水平,确定信息系统的安全等级。
2. 识别安全威胁:确定信息系统中可能存在的安全威胁,如黑客攻击、病毒、木马、信息泄露等。
3. 选择安全措施:根据信息系统安全等级和安全威胁,选择适当的安全措施,以确保信息系统的安全可靠性。
4. 执行安全测试:运用安全测试工具,对信息系统进行安全测试,确保信息系统的安全性。
5. 实施安全操作:按照安全操作程序,正确使用信息系统,确保信息系统的安全性。
6. 定期审计:定期审计信息系统,及时发现各类安全问题,并及时采取措施加以解决。
7. 定期更新:定期更新信息系统软硬件,以确保系统的安全性。
依据上述步骤,可以确保信息系统的安全性,确保其安全等级保护基本要求的实施。
此外,实施 SLP 基本要求,也需要定期开展培训,以提高使用者的安全意识,减少违规操作的可能性;同时,还应建立有效的安全管理体系,以确保系统的安全性。
总而言之,要实施 SLP 基本要求,除了要遵循上述步骤外,还需要建立有效的安全管理体系,定期开展培训,以及定期更新系统软硬件等,这样才能确保信息系统的安全性,减少由于信息系统失效导致的损失。
信息系统安全等级保护定级指南
信息系统安全等级保护定级指南(总6页)-CAL-FENGHAI.-(YICAI)-Company One1-CAL-本页仅作为文档封面,使用请直接删除前言本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:任卫红、曲洁、马力、朱建平、李明、李升、谢朝海、毕马宁、陈雪秀。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T BBBBB-BBBB信息系统安全等级保护基本要求;——GB/T CCCCC-CCCC信息系统安全等级保护实施指南;——GB/T DDDDD-DDDD信息系统安全等级保护测评准则。
本标准依据等级保护相关管理文件,从信息系统所承载的业务在国家安全、经济建设、社会生活中的重要作用和业务对信息系统的依赖程度这两方面,提出确定信息系统安全保护等级的方法。
信息系统安全等级保护定级指南1?范围本标准规定了信息系统安全等级保护的定级方法,适用于为信息系统安全等级保护的定级工作提供指导。
2规范性引用文件下列文件中的条款通过在本标准的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则3术语和定义GB/T 5271.8和GB17859-1999确立的以及下列术语和定义适用于本标准。
信息系统安全保护等级定级指南
信息系统安全保护等级定级指南摘要本文档旨在为企业和组织提供信息系统安全保护等级定级指南,帮助他们评估和确定信息系统的安全保护等级。
通过合理的等级定级,企业和组织可以根据其业务需求制定相应的安全防护策略,提高信息系统的安全性。
1. 引言信息系统安全是当今数字化时代的重要议题。
随着互联网技术的发展和普及,企业和组织正面临着越来越多的安全威胁。
为了保护信息系统免受恶意攻击和非法访问,以及确保敏感信息的保密性、完整性和可用性,确定信息系统的安全保护等级至关重要。
等级定级是一个评估过程,通过评估信息系统在保密性、完整性和可用性方面的需求和风险来确定其安全保护等级。
本指南提供了一套可行的等级定级方法和准则,以帮助企业和组织评估其信息系统的安全需求,并建立相应的安全措施。
2. 安全保护等级安全保护等级是对信息系统在保密性、完整性和可用性方面的要求和风险进行划分的等级。
本指南采用了三级安全保护等级:•一级安全保护等级:对信息系统的安全需求要求最高,适用于处理高度敏感信息的系统,如核心业务系统、国家安全信息系统等;•二级安全保护等级:对信息系统的安全需求要求较高,适用于处理敏感信息的系统,如金融业务系统、医疗保健系统等;•三级安全保护等级:对信息系统的安全需求要求较低,适用于处理一般信息的系统,如企业内部协同系统、电子邮件系统等。
每个等级都对保密性、完整性和可用性进行了明确的要求和评估准则,以帮助企业和组织确定其信息系统所需的安全保护等级。
3. 等级定级过程等级定级是一个系统的、有步骤的过程,以确定信息系统的安全保护等级。
以下是等级定级过程的主要步骤:3.1 识别信息系统首先,需要明确要定级的信息系统,包括系统的角色、功能、业务流程等。
这有助于更好地理解系统的需求和风险。
3.2 确定安全目标根据信息系统的角色和功能,确定安全目标,包括保密性、完整性和可用性。
例如,对于一级安全保护等级的信息系统,保密性要求可能非常高,而可用性要求相对较低。
人民银行信息系统信息安全等级保护实施指引(试行)
附件1人民银行信息系统信息安全等级保护实施指引(试行)2011年6月目录编制说明 (1)1概述 (1)1.1目的 (2)1.2范围 (2)1.3术语 (3)1.4引用文件 (4)2指引编制策略 (4)2.1国家等级保护要求 (4)2.1.1基本要求 (5)2.1.2设计要求 (6)2.2人民银行架构特点 (7)2.2.1网络结构与联网机构关系 (7)2.2.2业务接入及系统特点 (12)2.3指导思想 (14)2.3.1纵深防御设计的必要性 (15)2.3.2基本要求与纵深防御设计结合的意义 (15)2.3.3安全域设计 (16)3信息安全保障框架 (18)3.1总体框架 (18)3.2技术体系 (20)3.2.1计算环境 (22)3.2.2区域边界 (23)3.2.3通信网络 (23)3.2.4支撑设施 (24)3.3管理体系 (24)4保护要求 (25)4.1二级要求 (25)4.1.1技术要求 (25)4.1.2管理要求 (32)4.2三级要求 (42)4.2.1技术要求 (42)4.2.2管理要求 (53)4.3四级要求 (68)4.3.1技术要求 (68)4.3.2管理要求 (80)附录 (97)1等级保护实施措施 (97)1.1网络安全 (97)1.1.1二级要求及措施 (97)1.1.2三级要求及措施 (102)1.1.3四级要求及措施 (112)1.2主机安全 (122)1.2.1二级要求及措施 (122)1.2.2三级要求及措施 (125)1.2.3四级要求及措施 (131)1.3应用安全 (137)1.3.1二级要求及措施 (137)1.3.2三级要求及措施 (141)1.3.3四级要求及措施 (146)1.4数据安全 (152)1.4.1二级要求及措施 (152)1.4.2三级要求及措施 (153)1.4.3四级要求及措施 (155)2国库信息处理系统等级保护案例分析 (157)2.1现状 (157)2.2分区分域设计分析 (157)2.3基本要求分析 (159)2.3.1技术要求 (159)2.3.2管理要求 (161)3金融行业安全要求的选择和使用说明 (162)编制说明《人民银行信息系统信息安全等级保护实施指引》(以下简称“实施指引”)编写的目的是在满足人民银行信息安全发展需要,同时符合国家等级保护基本要求和设计技术要求,为人民银行的信息安全建设提供方法论、具体的建设措施及技术指导。
信息安全技术信息系统安全等级保护实施指引
信息安全技术信息系统安全等级保护实施指引信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
2024年信息安全等级保护工作实施方案
2024年信息安全等级保护工作实施方案一、背景分析随着信息化的快速发展,网络安全已经成为各行业和企事业单位必须面对的重要挑战。
信息安全等级保护工作旨在构建一个全面、科学、系统的信息安全保护体系,为国家安全和社会稳定提供坚实的信息基础保障。
本方案旨在为2024年信息安全等级保护工作提供具体实施方案,确保信息安全工作顺利落地。
二、目标设定1. 提升信息安全等级保护工作的整体水平,实现信息安全的全面覆盖。
2. 建立健全的信息安全风险评估和应急处置机制,提高应对信息安全事件的能力。
3. 加强国家对信息安全等级保护工作的管理和指导,确保各行业和企事业单位积极参与。
4. 提升信息安全意识和能力,培养专业人才,满足信息安全工作的需求。
5. 推动信息安全技术的创新和应用,加强信息安全国际合作与交流。
三、关键工作及措施1. 完善信息安全等级保护的相关法律法规和标准体系,确保信息安全工作的合规性和规范性。
- 继续推进《中华人民共和国网络安全法》的实施,加强对网络信息安全的监管与管理。
- 完善信息安全等级保护的评估标准和等级划分体系,提高评估的准确性和科学性。
2. 加强信息安全风险评估与应急处置,提升信息安全防护能力。
- 建立健全信息安全风险评估体系,对各行业和企事业单位进行全面的安全风险评估,及时发现和解决潜在风险。
- 加强信息安全事件的应急处置能力,及时响应、迅速处置各类安全事件,减少损失和恢复时间。
3. 加强对信息安全等级保护工作的监管和指导。
- 政府部门要加强对信息安全等级保护工作的监管和指导,加强信息安全政策的制定和宣传,增强各行业和企事业单位的安全意识。
- 加强对关键信息基础设施的保护,建设和完善相关的安全监测和预警系统,提高对安全威胁的感知和应对能力。
4. 加强信息安全人才培养和专业能力建设。
- 加大对信息安全人才培养的投入力度,建立健全信息安全专业教育体系,提供多种形式的培训和学习机会。
- 加强信息安全专业人员的职业素养和专业能力提升,引进优秀人才,推动信息安全领域的研究与创新。
2023年信息安全等级保护工作实施方案
2023年信息安全等级保护工作实施方案____年信息安全等级保护工作实施方案一、背景随着互联网的快速发展,信息安全问题日趋严峻。
网络攻击、数据泄露等事件频繁发生,给社会经济发展和个人信息安全带来了极大的风险。
为了保护国家和个人的信息安全,建立健全信息安全等级保护体系势在必行。
二、目标本方案的目标是建立一个完善的信息安全等级保护工作体系,通过国家政府机构、企事业单位和个人的共同努力,确保信息系统的安全可靠,维护国家安全和个人权益。
三、任务与措施1.建立信息安全等级划分标准制定信息安全等级划分标准,按照信息系统的重要性和风险程度,将信息系统划分为不同的等级。
制定相应的技术要求和管理规范,确保每个等级的信息系统都能得到相应的保护。
2.推动信息安全技术创新加大对信息安全技术的研发和创新力度,引导企事业单位加强自身信息安全能力的提升。
积极推动密码技术、安全通信技术、网络安全技术等领域的创新,提高信息安全的保障水平。
3.加强信息安全人才培养加大对信息安全人才培养的投入,建立健全信息安全人才培养体系。
通过培训、研讨会和奖励制度等手段,吸引更多的人才从事信息安全工作,培养一支高素质的信息安全专业人才队伍。
4.加强信息安全监管和评估加强信息安全监管和评估工作,推动各类信息系统实施安全等级保护。
建立健全信息安全监管机构,加强对关键信息基础设施、网络运营商和互联网企业的监管,引导和监督其加强信息安全保护。
5.加强信息安全宣传和教育加大对信息安全的宣传和教育力度,提高公众对信息安全的认识和知识水平。
通过宣传活动、媒体报道和教育培训等方式,普及信息安全知识,增强公众的责任意识和防范意识。
6.加强国际合作与交流加强与国际信息安全组织和专家的合作与交流,共同应对全球化的信息安全威胁。
积极参与国际信息安全标准制定和资源共享,加强与其他国家的合作,形成信息安全共同防线。
四、实施步骤1.制定信息安全等级划分标准和技术规范依托国家相关标准制定机构,制定信息安全等级划分标准和技术规范。
金融行业信息系统信息安全等级保护实施指引 2020
金融行业信息系统信息安全等级保护实施指引 2020金融行业信息系统信息安全等级保护实施指引(2020)是金融行业信息安全领域的重要文件,旨在加强金融机构信息系统的安全防护,确保金融数据的完整性、可用性和保密性。
本文将从背景介绍、主要内容、实施指导等方面进行详细分析。
一、背景介绍随着金融科技的发展和信息化程度的提升,金融机构面临着越来越多的信息安全威胁和挑战。
信息系统安全等级保护是一种基于风险管理的有效安全保护措施,可以帮助金融机构建立健全的信息安全管理体系,提升信息系统的安全性和可靠性。
二、主要内容1.等级划分:根据金融机构的业务特点和风险等级,将信息系统分为不同的安全等级,提出相应的安全保护要求和措施。
2.安全标准:设定符合国家标准和行业规范的信息安全技术要求,包括网络安全、数据保护、访问控制等方面的标准。
3.安全评估:建立信息系统的安全评估机制,定期对信息系统进行安全评估和检测,发现并解决潜在的安全隐患。
4.安全培训:加强员工的信息安全意识培训,提高员工对信息安全的认识和防范能力,降低信息安全风险。
5.应急响应:建立健全的信息安全事件应急响应机制,及时响应安全事件、处置安全威胁,最大限度减少损失。
6.合规监督:加强信息安全合规监督,建立信息安全考核机制,对金融机构的信息系统安全等级进行定期检查和评估。
三、实施指导1.全面落实:金融机构应根据实际情况全面贯彻落实《金融行业信息系统信息安全等级保护实施指引(2020)》,制定相应的安全保护措施和计划。
2.风险评估:针对金融机构信息系统的风险情况,进行全面的风险评估和分析,量化风险并采取相应的安全防护措施。
3.技术支持:金融机构可以借助信息安全技术服务提供商的技术支持,建立完善的信息安全体系,提高信息系统的安全性。
4.组织协作:加强跨部门合作和信息共享,建立信息安全工作组织架构,明确各部门的安全责任和职责,形成合力应对安全挑战。
5.定期检查:建立信息系统安全检查和监控制度,定期对信息系统进行安全漏洞扫描、入侵检测等,确保信息系统的安全性。
信息安全技术 信息系统安全等级保护实施指南
信息安全技术 信息系 安全等级保护实施指南
主机安全检查系 ThreatDiscoverySystem
首页
Home
产品特点
Products & Featurn
当前位置: 首页 >> 相关标准
服务支持
Service & Support
信息安全技术 信息系 安全等级保护实施指南
5 信息系统定级 5.1 信息系定级阶段的工作流程 信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信 息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
5.2 信息系统分析 5.2.1 系统识别和描述
/biaozhun/2/index.html
联系我们
Contact us
信息系统安全等级保护实施指南
1 范围 本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。 2 规范性引用文件 下 列文件中的条款通过在本标准中的引用而成为本标准的条款。凡是注日期的引用文件,其随后所有的 修改单(不包括勘误的内容)或修订版均不适用于本标准,然 而, 励根据本标准达成协议的各方研究是否 使用这些文件的最新版本。凡是不注明日期的引用文件,其最新版本适用于本标准。 GB/T 5271.8 信息技术词汇第8部分:安全 GB17859-1999 计算机信息系统安全保护等级划分准则 GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南 3 术语和定义
2/19
17-2-8
信息安全技术 信息系 安全等级保护实施指南
活动目标: 本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合 分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统的立项、建设和管理文档。 活动描述: 本活动主要包括以下子活动内容: a) 识别信息系统的基本信息 调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的 背景信息和联络方式。 b) 识别信息系统的管理框架 了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信 息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。 c) 识别信息系统的网络及设备部署 了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确 定定级对象及其范围。 d) 识别信息系统的业务种类和特性 了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程 等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务 应用的信息系统作为单独的定级对象。 e) 识别业务系统处理的信息资产 了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。 f) 识别用户范围和用户类型 根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。 g) 信息系统描述 对收集的信息进行整理、分析,形成对信息系统的总体描述文件。一个典型的信息系统的总体描述文件应 包含以下内容: 1) 系统概述; 2) 系统边界描述; 3) 网络拓扑; 4) 设备部署; 5) 支撑的业务应用的种类和特性; 6) 处理的信息资产; 7) 用户的范围和用户类型; 8) 信息系统的管理框架。 活动输出: 信息系统总体描述文件。 5.2.2 信息系统划分 活动目标: 本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合 理分解,确定所包含可以作为定级对象的信息系统的个数。 参与角色:信息系统运营、使用单位,信息安全服务机构。 活动输入:信息系统总体描述文件。 活动描述: 本活动主要包括以下子活动内容: a) 划分方法的选择 一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划 分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运 营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。 b) 信息系统划分 依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统 并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。在信息系统划分的过程中,应该 首先考虑组织管理的要素,然后考虑业务类型、物理区域等要素。 c) 信息系统详细描述 在对信息系统进行划分并确定定级对象后,应在信息系统总体描述文件的基础上,进一步增加信息系统划 分信息的描述,准确描述一个大型信息系统中包括的定级对象的个数。 进一步的信息系统详细描述文件应包含以下内容: 1) 相对独立信息系统列表; 2) 每个定级对象的概述; 3) 每个定级对象的边界; 4) 每个定级对象的设备部署; 5) 每个定级对象支撑的业务应用及其处理的信息资产类型; 6) 每个定级对象的服务范围和用户类型; 7) 其他内容。 活动输出: 信息系统详细描述文件。 5.3 安全保护等级确定 5.3.1 定级、审核和批准
《金融行业信息系统信息安全等级保护实施指引》介绍
《金融行业信息系统信息安全等级保护实施指引》介绍《金融行业信息系统信息安全等级保护实施指引》针对金融机构的信息系统安全等级保护工作,对金融行业信息系统安全等级保护的目标、原则、要求、指南进行了规范。
该指引的实施有助于保护金融机构的核心信息资产,提升金融机构的信息系统防护能力,增强金融行业信息系统的安全性和稳定性。
该指引的主要内容包括以下几个方面:第一,指引明确了金融行业信息系统安全等级保护的目标和原则。
其中,保证信息系统的机密性、完整性、可用性是信息安全等级保护的基本目标;根据风险评估结果,确定相应的安全等级,采取相应的保护措施是安全等级保护的基本原则。
第二,指引规定了金融行业信息系统安全等级划分的方法和准则。
针对金融机构的不同类型、规模、业务特点,制定了信息系统安全等级划分的标准和方法。
指引明确了具体的安全等级划分依据,包括资产价值、风险影响、安全威胁和风险等级等因素。
第三,指引明确了金融行业信息系统保护的要求和措施。
根据不同的安全等级,指引对金融行业信息系统保护提出了具体的要求和措施,包括完善安全管理体系、建立安全技术体系、加强人员安全教育培训、加强监控和审计等。
第四,指引提供了金融行业信息系统安全等级评估的指南和方法。
该指南详细介绍了金融行业信息系统安全等级评估的步骤和方法,包括评估准备、评估计划制定、评估实施和评估报告编写等内容。
指南还提供了评估模型和评估工具供金融机构使用。
总之,《金融行业信息系统信息安全等级保护实施指引》是一份重要的文件,对于金融机构加强信息系统安全保护、提高信息系统安全等级具有指导作用。
通过有效的安全等级保护措施,可以提高金融行业信息系统的安全性和稳定性,保护金融机构的核心信息资产。
同时,也为金融机构提供了评估工具和指南,帮助其进行有效的安全等级评估和管理。
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
信息安全技术信息系统安全等级保护实施指南前言本标准的附录A是规范性附录。
本标准由公安部和全国信息安全标准化技术委员会提出。
本标准由全国信息安全标准化技术委员会归口。
本标准起草单位:公安部信息安全等级保护评估中心。
本标准主要起草人:毕马宁、马力、陈雪秀、李明、朱建平、任卫红、谢朝海、曲洁、袁静、李升、刘静、罗峥。
引言依据《中华人民共和国计算机信息系统安全保护条例》(国务院147号令)、《国家信息化领导小组关于加强信息安全保障工作的意见》(中办发[2003]27号)、《关于信息安全等级保护工作的实施意见》(公通字[2004]66号)和《信息安全等级保护管理办法》(公通字[2007]43号),制定本标准。
本标准是信息安全等级保护相关系列标准之一。
与本标准相关的系列标准包括:——GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南;——GB/T BBBB-BBBB 信息安全技术信息系统安全等级保护基本要求。
在对信息系统实施信息安全等级保护的过程中,除使用本标准外,在不同的阶段,还应参照其他有关信息安全等级保护的标准开展工作。
在信息系统定级阶段,应按照GB/T AAAA-AAAA介绍的方法,确定信息系统安全保护等级。
在信息系统总体安全规划,安全设计与实施,安全运行与维护和信息系统终止等阶段,应按照GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准,设计、建设符合信息安全等级保护要求的信息系统,开展信息系统的运行维护管理工作。
GB17859-1999、GB/T BBBB-BBBB、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等技术标准是信息系统安全等级保护的系列相关配套标准,其中GB17859-1999是基础性标准,GB/T20269-2006、GB/T20270-2006 和GB/T20271-2006等是对GB17859-1999的进一步细化和扩展,GB/T BBBB-BBBB是以GB17859-1999为基础,根据现有技术发展水平提出的对不同安全保护等级信息系统的最基本安全要求,是其他标准的一个底线子集。
对信息系统的安全等级保护应从GB/T BBBB-BBBB出发,在保证信息系统满足基本安全要求的基础上,逐步提高对信息系统的保护水平,最终满足GB17859-1999、GB/T20269-2006、GB/T20270-2006和GB/T20271-2006等标准的要求。
除本标准和上述提到的标准外,在信息系统安全等级保护实施过程中,还可参照和使用GB/T20272-2006和GB/T20273-2006等其它等级保护相关技术标准。
信息系统安全等级保护实施指南.1 范围本标准规定了信息系统安全等级保护实施的过程,适用于指导信息系统安全等级保护的实施。
2 规范性引用文件下列文件中的条款通过在本标准中的引用而成为本标准的条款。
凡是注日期的引用文件,其随后所有的修改单(不包括勘误的内容)或修订版均不适用于本标准,然而,鼓励根据本标准达成协议的各方研究是否使用这些文件的最新版本。
凡是不注明日期的引用文件,其最新版本适用于本标准。
GB/T 5271.8 信息技术词汇第8部分:安全GB17859-1999 计算机信息系统安全保护等级划分准则GB/T AAAA-AAAA 信息安全技术信息系统安全等级保护定级指南3 术语和定义GB/T 5271.8和GB 17859-1999确立的以及下列术语和定义适用于本标准。
3.1等级测评classified security testing and evaluation确定信息系统安全保护能力是否达到相应等级基本要求的过程。
4 等级保护实施概述4.1 基本原则信息系统安全等级保护的核心是对信息系统分等级、按标准进行建设、管理和监督。
信息系统安全等级保护实施过程中应遵循以下基本原则:a) 自主保护原则信息系统运营、使用单位及其主管部门按照国家相关法规和标准,自主确定信息系统的安全保护等级,自行组织实施安全保护。
b) 重点保护原则根据信息系统的重要程度、业务特点,通过划分不同安全保护等级的信息系统,实现不同强度的安全保护,集中资源优先保护涉及核心业务或关键信息资产的信息系统。
c) 同步建设原则信息系统在新建、改建、扩建时应当同步规划和设计安全方案,投入一定比例的资金建设信息安全设施,保障信息安全与信息化建设相适应。
d) 动态调整原则要跟踪信息系统的变化情况,调整安全保护措施。
由于信息系统的应用类型、范围等条件的变化及其他原因,安全保护等级需要变更的,应当根据等级保护的管理规范和技术标准的要求,重新确定信息系统的安全保护等级,根据信息系统安全保护等级的调整情况,重新实施安全保护。
4.2 角色和职责信息系统安全等级保护实施过程中涉及的各类角色和职责如下:a) 国家管理部门公安机关负责信息安全等级保护工作的监督、检查、指导;国家保密工作部门负责等级保护工作中有关保密工作的监督、检查、指导;国家密码管理部门负责等级保护工作中有关密码工作的监督、检查、指导;涉及其他职能部门管辖范围的事项,由有关职能部门依照国家法律法规的规定进行管理;国务院信息化工作办公室及地方信息化领导小组办事机构负责等级保护工作的部门间协调。
b) 信息系统主管部门负责依照国家信息安全等级保护的管理规范和技术标准,督促、检查和指导本行业、本部门或者本地区信息系统运营、使用单位的信息安全等级保护工作。
.c) 信息系统运营、使用单位负责依照国家信息安全等级保护的管理规范和技术标准,确定其信息系统的安全保护等级,有主管部门的,应当报其主管部门审核批准;根据已经确定的安全保护等级,到公安机关办理备案手续;按照国家信息安全等级保护管理规范和技术标准,进行信息系统安全保护的规划设计;使用符合国家有关规定,满足信息系统安全保护等级需求的信息技术产品和信息安全产品,开展信息系统安全建设或者改建工作;制定、落实各项安全管理制度,定期对信息系统的安全状况、安全保护制度及措施的落实情况进行自查,选择符合国家相关规定的等级测评机构,定期进行等级测评;制定不同等级信息安全事件的响应、处置预案,对信息系统的信息安全事件分等级进行应急处置。
d) 信息安全服务机构负责根据信息系统运营、使用单位的委托,依照国家信息安全等级保护的管理规范和技术标准,协助信息系统运营、使用单位完成等级保护的相关工作,包括确定其信息系统的安全保护等级、进行安全需求分析、安全总体规划、实施安全建设和安全改造等。
e) 信息安全等级测评机构负责根据信息系统运营、使用单位的委托或根据国家管理部门的授权,协助信息系统运营、使用单位或国家管理部门,按照国家信息安全等级保护的管理规范和技术标准,对已经完成等级保护建设的信息系统进行等级测评;对信息安全产品供应商提供的信息安全产品进行安全测评。
f) 信息安全产品供应商负责按照国家信息安全等级保护的管理规范和技术标准,开发符合等级保护相关要求的信息安全产品,接受安全测评;按照等级保护相关要求销售信息安全产品并提供相关服务。
4.3 实施的基本流程在安全运行与维护阶段,信息系统因需求变化等原因导致局部调整,而系统的安全保护等级并未改变,应从安全运行与维护阶段进入安全设计与实施阶段,重新设计、调整和实施安全措施,确保满足等级保护的要求;但信息系统发生重大变更导致系统安全保护等级变化时,应从安全运行与维护阶段进入信息系统定级阶段,重新开始一轮信息安全等级保护的实施过程。
5 信息系统定级5.1 信息系定级阶段的工作流程信息系统定级阶段的目标是信息系统运营、使用单位按照国家有关管理规范和GB/T AAAA-AAAA,确定信息系统的安全保护等级,信息系统运营、使用单位有主管部门的,应当经主管部门审核批准。
5.2 信息系统分析5.2.1系统识别和描述活动目标:本活动的目标是通过从信息系统运营、使用单位相关人员处收集有关信息系统的信息,并对信息进行综合分析和整理,依据分析和整理的内容形成组织机构内信息系统的总体描述性文档。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统的立项、建设和管理文档。
活动描述:本活动主要包括以下子活动内容:a) 识别信息系统的基本信息调查了解信息系统的行业特征、主管机构、业务范围、地理位置以及信息系统基本情况,获得信息系统的背景信息和联络方式。
b) 识别信息系统的管理框架了解信息系统的组织管理结构、管理策略、部门设置和部门在业务运行中的作用、岗位职责,获得支持信息系统业务运营的管理特征和管理框架方面的信息,从而明确信息系统的安全责任主体。
c) 识别信息系统的网络及设备部署了解信息系统的物理环境、网络拓扑结构和硬件设备的部署情况,在此基础上明确信息系统的边界,即确定定级对象及其范围。
d) 识别信息系统的业务种类和特性了解机构内主要依靠信息系统处理的业务种类和数量,这些业务各自的社会属性、业务内容和业务流程等,从中明确支持机构业务运营的信息系统的业务特性,将承载比较单一的业务应用或者承载相对独立的业务应用的信息系统作为单独的定级对象。
e) 识别业务系统处理的信息资产了解业务系统处理的信息资产的类型,这些信息资产在保密性、完整性和可用性等方面的重要性程度。
f) 识别用户范围和用户类型根据用户或用户群的分布范围了解业务系统的服务范围、作用以及业务连续性方面的要求等。
g) 信息系统描述对收集的信息进行整理、分析,形成对信息系统的总体描述文件。
一个典型的信息系统的总体描述文件应包含以下内容:1) 系统概述;2) 系统边界描述;3) 网络拓扑;4) 设备部署;5) 支撑的业务应用的种类和特性;6) 处理的信息资产;7) 用户的范围和用户类型;8) 信息系统的管理框架。
活动输出:信息系统总体描述文件。
5.2.2信息系统划分活动目标:本活动的目标是依据信息系统的总体描述文件,在综合分析的基础上将组织机构内运行的信息系统进行合理分解,确定所包含可以作为定级对象的信息系统的个数。
参与角色:信息系统运营、使用单位,信息安全服务机构。
活动输入:信息系统总体描述文件。
活动描述:本活动主要包括以下子活动内容:a) 划分方法的选择一个组织机构可能运行一个大型信息系统,为了突出重点保护的等级保护原则,应对大型信息系统进行划分,进行信息系统划分的方法可以有多种,可以考虑管理机构、业务类型、物理位置等因素,信息系统的运营、使用单位应该根据本单位的具体情况确定一个系统的分解原则。
信息系统划分b)依据选择的系统划分原则,将一个组织机构内拥有的大型信息系统进行划分,划分出相对独立的信息系统并作为定级对象,应保证每个相对独立的信息系统具备定级对象的基本特征。